Predator: iPhone-Spyware soll sich über Apples Kurzbefehle einnisten

Sicherheitsforscher haben neue Spyware auf dem iPhone eines ägyptischen Politikers analysiert. Das Gerät war zeitgleich mit der NSO-Spyware Pegasus infiziert.

In Pocket speichern vorlesen Druckansicht 38 Kommentare lesen
Pegasus: iOS- und Android-Spyware soll jetzt Daten aus Cloud-Services stehlen können

(Bild: Shutterstock / Motortion Films)

Lesezeit: 2 Min.

Das kanadische Citizen Lab hat erste Details zu einer neuen Spyware eines weitgehend unbekannten Konkurrenten der NSO Group veröffentlicht. Die "Predator" genannte Spionagesoftware sei auf den Geräten von zwei Exil-Ägyptern – dem Politiker Aiman Nur sowie einem ungenannten "Sprecher eines populären Nachrichtenprogramms" – gefunden worden. Das iPhone des Politikers sei dabei gleichzeitig mit Predator und der Spionagesoftware Pegasus des Konkurrenten NSO Group infiziert gewesen.

Nur ist misstrauisch geworden, weil sein iPhone "heißlief", auf dem die zu diesem Zeitpunkt neueste Version iOS 14.6 installiert war, erläutern die Sicherheitsforscher. Predator sei wohl über eine manipulierte Webseite installiert worden – nach Anklicken eines per WhatsApp zugeschickten Links.

Der "Loader" von Predator lösche nach der Installation alle Log-Files auf dem Gerät und lade anschließend weitere Komponenten von einem Server nach. Zudem versucht die Spyware offenbar, die Automatisierungsfunktionen des Betriebssystem einzusetzen, um sich beispielsweise nach Neustarts stets wieder erneut zu installieren: Über eine Automation in Apples Kurzbefehle-App wird beim Öffnen gängiger Apps eine URL aufgerufen, die dann offenbar erneut zur Kompromittierung des Gerätes über eine Schwachstelle in der Browser-Engine WebKit führt, erklärt Citizen Lab.

Benachrichtigungen über die Ausführung der Automation würden mit einem Konfigurationsprofil unterdrückt. Wie die Spyware weitere Sicherheitsvorkehrungen in Apples Kurzbefehle-App umgeht, bleibt unklar. Neben einer iOS-Version gibt es Predator demnach auch in einer Variante für Android zu geben, hier fehlt aber ein Mechanismus für Persistenz, so die Sicherheitsforscher.

Predator werde von der noch weitgehend unbekannten Firma Cytrox entwickelt, die unter anderem in Israel und Ungarn ansässig sei und Berichten zufolge zu Intellexa gehört. Der Verbund beschreibe sich als "EU-basiert und reguliert" und wolle mit der NSO Group konkurrieren, wie Citizen Lab ausführt.

Die Sicherheitsforscher mutmaßen, dass hinter den Angriffen staatliche Akteuere in Ägypten stehen. Solche Angriffe auf die Zivilgesellschaft machen deutlich, dass das Problem weit über einen einzelnen Spyware-Anbieter hinausgeht – ohne internationale und lokale Regulierung und Sicherheitsvorkehrungen würden solche Angriffe auf Menschenrechtler, Oppositionelle und Journalisten ungehindert fortgesetzt.

(lbe)